我有一台配備 iDRAC9 Basic 的 Dell PowerEdge T350。伺服器連接到交換機,交換器連接到上游連接到網際網路的路由器。很簡單。伺服器的 NIC1 和 iDRAC 自己的 UTP LAN 卡都連接到交換器。我啟用了 iDRAC,並且可以從連接到同一交換器(也稱為 Intranet)的另一台主機存取 Web GUI。
伺服器的兩個 LAN 介面都配置了靜態 Intranet IP(在 192.168.1.x 範圍內),而不是 DHCP-d,因為路由器上的連接埠轉換我們最好有一個固定的 IP。我在路由器上設定了連接埠轉換,以便可以遠端存取兩個服務:RDP 和 iDRAC。 RDP 是伺服器作業系統本身。
有趣的部分來了:
- 我可以透過內網使用 RDP 存取伺服器作業系統
- 我可以使用 RDP 遠端存取伺服器作業系統
- 我可以透過 Intranet 存取 iDRAC Web GUI
- 我無法遠端存取 iDRAC Web GUI
我以與 RDP 相同的方式配置了 iDRAC 連接埠重定向(或者我們可以將其稱為防火牆針孔)。儘管 RDP 需要 TCP 和 UDP 3389 連接埠重定向。 iDRAC 僅需要 TCP 443 連接埠重定向。
問題:
- iDRAC 上是否有預設阻止 Intranet 存取的開關或設定選項? (儘管路由器正在進行位址轉換/NAT,所以這個問題可能沒有意義?)
- 有問題的路由器是 PACE 5268AC FXN。我在手冊中找不到任何內容表明它允許 3389(或 3390,因為我還用針孔固定了另一台電腦的 RDP)重定向,但使用 HTTPS 會失敗。我在防火牆日誌中沒有看到任何有用的內容。似乎 Intranet 443 傳入資料包甚至沒有到達路由器?我不明白。
- 我還嘗試了 33443 -> 443 和其他類型的重定向而不是 443 -> 443,但這也不起作用。
- 我還補充說,iDRAC 的 SSL 憑證是無用的(無效),但似乎該事情在早期階段失敗了。 ISP 是 AT&T。
根據記錄,我的 iDRAC 韌體版本為 6.10.30.00(內部版本 29),iDRAC 設定版本為 5.00.00.10
答案1
我仔細檢查了我的 iDRAC 網路設置,網關正確 (192.168.1.254)。我還搜尋並驗證了 iDRAC 是否可以 ping 網關(racadmin ping 192.168.1.254當我登入 Intranet 上的 iDRAC Web GUI 時)。我還檢查了路由器的連接埠針孔配置,看起來也不錯。我嘗試遠端存取 Web GUI 幾次,並驗證路由器的防火牆日誌中沒有這些資料包並被識別為針孔存取。
不確定發生了什麼變化,但也許我的瀏覽器在看到 IP 位址時預設會嘗試 http 協定(我只使用靜態 IP 位址遠端存取 iDRAc,沒有 DNS 名稱),當我手動輸入 https 協定時,我必須錯誤訊息而不是超時:
錯誤的請求
您的瀏覽器發送了該伺服器無法理解的請求
此外,嘗試使用 ErrorDocument 處理檔案請求時遇到 400 Bad Request 錯誤。
這適用於基於 Firefox 和 Chromium 的瀏覽器。然後我搜尋這個特定的錯誤訊息,並在知識庫文章中找到了一個有幫助的解決方案:iDRAC9 韌體版本 5.10.00.000 上的 HTTP/HTTPS FQDN 連線失敗
原因 iDRAC9 韌體版本 5.10.00.00 中的 Web 伺服器預設強制執行 HTTP/HTTPS 主機標頭檢查。 解決 預設情況下,iDRAC9 將檢查 HTTP/HTTPS 主機標頭並與定義的「DNSRacName」和「DNSDomainName」進行比較。當值不符時,iDRAC 將拒絕 HTTP/HTTPS 連線。在 iDRAC9 5.10.00.00 中,可以使用下列 RACADM 指令停用此主機頭強制。
#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0
現在我想知道這是否會帶來任何安全風險。我們從不固定的 IP 存取 iDRAC,並使用 IP 位址對其進行尋址。我只能想到一個 REST 用戶端,它會注入所需的 HTTP 標頭。但至少我現在可以存取 iDRAC Web GUI。
答案2
解決方案是使用 IP 位址而不是 FQDN。然後它就起作用了。